Intune で Apple デバイスのアクティブ化ロックを無効にする

Microsoft Intuneは、iOS/iPadOS および macOS デバイス用の iPhone アプリの検索機能であるアクティブ化ロックの管理に役立ちます。 アクティブ化ロックは、ユーザーがデバイスで iPhone の検索アプリを設定すると自動的に有効になります。 有効にした後、ユーザーの Apple ID とパスワードを入力してから、次の操作を行う必要があります。

• iPhone を探すアプリをオフにする
• デバイスを消去する
• ディスクを再アクティブ化する

サポートされているプラットフォーム:

• iOS/iPadOS 7.1 以降 (ADE 経由で監視)
• macOS 10.15 以降 (ADE 経由で監視)

アクティブ化ロックの影響

ライセンス認証ロックは Apple デバイスのセキュリティ保護に役立ち、紛失したデバイスや盗難にあったデバイスを回復する可能性を高めますが、この機能は IT 管理者として多くの課題を抱えています。 例:

• あるユーザーがデバイスでアクティブ化ロックを設定します。 その後、そのユーザーが退職し、デバイスを返却します。 ユーザーの Apple ID とパスワードがないと、デバイスを再アクティブ化する方法はありません。
• 組織でデバイスを更新するときに、一部のデバイスを別の部門に再割り当てする必要があります。 ライセンス認証ロックが有効になっていないデバイスのみを再割り当てできます。

これらの問題を解決するために、Apple では、ユーザーの Apple ID とパスワードを使用せずに、監視対象デバイスのライセンス認証ロックを無効にする機能が導入されました。 監視対象デバイスは、Apple のライセンス認証サーバーに格納されているデバイス固有のアクティブ化ロック バイパス コードを生成します。

ヒント

監視モードは、Apple Configurator を使用してデバイスをロックダウンし、機能を特定のビジネス目的に限定するように構成できます。 このアクションは、自動デバイス登録プログラムを使用して登録された監視対象デバイスでのみサポートされます。 Apple の Web サイト。

アクティベーション ロックについては、Apple の Web サイトをご覧ください。

Intune でアクティブ化ロックを管理する方法

デバイスでライセンス認証ロックを無効にするには、次の 2 つの方法があります。

• デバイスでライセンス認証ロック バイパス コードを手動で入力する

• アクティブ化ロック デバイスの無効化アクションの使用

監視対象デバイスの場合、Intune にはライセンス認証ロック バイパス コードが格納されます。このコードをデバイスに入力して、ライセンス認証ロックを手動で無効にすることができます。 デバイスがワイプされた場合は、空白のユーザー名とコードをパスワードとして使用して、デバイスに直接アクセスできます。 さらに、Intune は Apple のライセンス認証サーバーにバイパス コードを直接発行して、デバイスと対話することなくアクティブ化ロックを無効にすることができます。

Intune を使用してアクティベーション ロックを管理するビジネス上の利点は次のとおりです。

• ユーザーは、Find My アプリのセキュリティ上の利点を得ます。
• ユーザーが以前のユーザー名やパスワードを必要とせずに、デバイスを再利用する必要があるときに作業を行い、ロックを解除できます。

始める前に

Apple デバイスでアクティベーション ロックを無効にする前に、次の手順に従って有効にする必要があります。

1. 「デバイス制限設定を構成する方法」の情報を使用して、iOS/iPadOS または macOS デバイスの Intune デバイス制限プロファイルを構成します。
2. iOS/iPadOS のデバイス制限設定、または macOS のデバイス制限設定の [全般] 設定で、[アクティブ化ロックを許可する] オプションを有効にします。
3. プロファイルを保存し、アクティベーション ロックの無効化を管理するデバイスに割り当てます。

アクティベーション ロックの無効化を使用する方法

重要

デバイスでアクティブ化ロックを無効にした後、[マイ アプリの検索] が開始されると、新しいアクティブ化ロックが自動的に適用されます。 そのため、デバイスが実際に手元にある状態で、この手順を実行してください。

Intune の [アクティブ化ロックを無効にする ] リモート デバイス アクションは、現在のユーザーの Apple ID とパスワードを必要とせずに、デバイスのアクティブ化ロックを削除します。 アクティブ化ロックを無効にすると、Find My アプリが起動すると、デバイスはもう一度アクティブ化ロックをオンにします。 デバイスに物理的にアクセスできる場合にのみアクティベーション ロックを無効にしてください。

1. Microsoft Intune 管理センターにサインインします。

2. [デバイス]>[すべてのデバイス] の順に選択します。

3. 次に、アクティブ化ロックを無効にするデバイスを選択します。

4. デバイスの [ 概要 ] ウィンドウで、[デバイス アクション] メニューから [ アクティブ化ロックを無効にする ] アクションを選択します。

5. [ハードウェア] を選択し、[条件付きアクセス] でアクティブ化ロック バイパス コード値を見つけてコピーします。

   注:

   デバイスをワイプする前にバイパス コードをコピーします。 コードをコピーする前にデバイス設定をリセットすると、コードは Intune から削除され、アクセスできなくなります。

6. デバイスの [ 概要 ] ウィンドウで、[ワイプ] を選択 します。

注:

graph を使用して activationLockBypassCode プロパティを返すには、要求に明示的に含める必要があります。 フィルター処理されていないクエリをデバイス オブジェクトのGraph APIに送信すると、一連の既定値が返され、activationLockBypassCode は null になります。

ライセンス認証ロック バイパス コードを使用する方法

1. Microsoft Intune 管理センターにサインインします。
2. [デバイス]>[すべてのデバイス] の順に選択します。
3. 次に、アクティブ化ロックを無効にするデバイスを選択します。
4. [ ハードウェア] を選択し、[ 条件付きアクセス] でアクティブ化ロック バイパス コード値を見つけてコピーします。
5. デバイスの [ 概要 ] ウィンドウで、[デバイス アクション] メニューの [ ワイプ ] アクションを選択します。
6. デバイスがリセットされると、Apple ID とパスワードの入力を求められます。 [ID] フィールドは空白のままにし、パスワードの ライセンス認証ロック バイパス コード を入力します。 この手順では、デバイスからアカウントを削除します。 macOS デバイスで、メニュー バーで [回復アシスタント ] を選択し、[ MDM キーを使用してアクティブ化 ] オプションを選択してバイパス コードを入力します。

次の手順

[デバイスの管理] ワークロード内のデバイスの詳細ページで、ロック解除要求の状態を確認できます。